지난 달 세계 최대의 보안 컨퍼런스 '데프콘'에서는 상당히 흥미로운 실험이 있었다.
해커들이 내부자로 위장해 투명 부스 안 관객들이 지켜보는 자리에서 구글, 월마트, 시스코, 마이크로소프트, 펩스, 포드, 코카콜라 같은 내로라할 기업의 직원들에게 전화했더니 대부분 아무런 의심없이 자사의 핵심 IT 자산에 대한 정보를 알려준 것이다.
심지어 해커가 외부 사이트에 접속하도록 유도할 경우, 대부분이 별다른 의심없이 그 사이트에 접속했다고 한다.
지난 3일과 4일 제주 해비치리조트에서 열린 제8회 (사)한국침해사고대응팀협의회(CONCERT) 워크숍에서도 어떻게 하면 기업의 기밀유출을 효과적으로 막을 수 있을 것인가가 화두였다.
"직원 PC에 보안 솔루션 에이전트를 까는 걸로는 부족하다. 기밀정보는 임원들이 더 많이 갖고 있으며, 각 본부별로 뭘 막아야 하는 지 정책을 만드는 게 중요하다.(시만텍코리아 윤광택 이사)"
"회사 보안팀이 '의심나는 파일을 실행하지 말자'고 조언만 하거나 차단만 해주면 직원들은 습관을 바꾸려 하지 않는다. 개인별·부서별로 보안 규정을 따르고 있는 지 평가해 점수화하는 게 필요하다.(이동범 지니네트웍스 대표)"
내로라할 미국 기업 직원들이 신뢰를 내세운 전화 한 통에 속은 것이나, 국내 보안 솔루션 벤더들이 제품 자체보다는 직원 교육과 인식 제고를 강조한 것은 IT 세상의 위협도 사람에 의해 발생하기 때문이리라.
그러나, 현재의 비즈니스 환경은 '나홀로'라기 보다는 에코시스템을 누가 주도하느냐, 그 안에서 내가 어떤 역할을 하는가가 중요하다.
그래서 직원들의 외부 접속을 무조건 차단하기보다는 우리 회사의 어떤 정보가 기밀로 분류되는 지, 그동안 잘못된 비즈니스 관행은 없는 지 등을 살펴 보안 정책을 만들고 수시로 수정해 나가는 게 필요해 보인다.
뚜렷한 보안 정책이 없거나 직원들이 뭐가 문제되는 행위인 지 알 지 못한다면, 무심코 보낸 웹메일 하나로 고통당하거나 거꾸로 값비싼 보안제품을 구축했지만 기밀정보는 뚫리는 상황이 발생할 수 있기 때문이다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기